2020年12月10日

【重要】FileZenディレクトリトラバーサルの脆弱性について

本お知らせは
2020/12/2発表の【重要】FileZen最新バージョンへのアップデートのお願い(V4.2.2以前)の続報です。

先日発表致しました本件につきまして、
JPCERTコーディネーションセンター (JPCERT/CC)に届け出を行いました。
脆弱性内容についてお知らせいたします。

既に保守ユーザー様へは連絡済み(※1)ではありますが、
該当のバージョンをご利用の場合、最新バージョンへ必ずアップデートしてくださいますよう、
改めてお願い申し上げます。

1. 対象バージョン
 FileZen V3.0.0 から V4.2.2 まで
 (物理版、仮想版を問いません。
  バージョンは、システム管理ページにログオン頂くと上部で確認できます。)

2. 確認された主な脆弱性と影響
 2-1. 確認された主な脆弱性
  (1) FileZenにログインせず、不正に任意のファイルをアップロードできるディレクトリトラバーサル脆弱性
    (CVE-2020-5639)
   CVSS v3 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N    基本値: 7.5
   CVSS v2 AV:N/AC:L/Au:N/C:N/I:P/A:N         基本値: 5.0

  (2) 上記でアップロードしたファイルをFileZen上で実行できる
   (こちらのみでは攻撃が成立しないため、CVEの付番はございません。)

 2-2. 脆弱性の影響
  遠隔の第三者によって特定のディレクトリに任意のファイルをアップロードされる可能性があります。(上記(1))
  特別に細工されたファイルをアップロードされた場合、
  任意の OS コマンドの実行につながる可能性があります。(上記(2))

3. 脆弱性への対処方法
 FileZenをV4.2.3以降にアップデートしてください。(※2)
 なお、上記2-1(2)について V4.2.6 および V5.0.1で対策しました。
 本アナウンス発表時点での最新版は以下です。 

  ST82モデル        V5.0.1
  DX51モデル・ST81モデル V4.2.6


※1 弊社との契約において連絡先として登録頂いているメールアドレスへご案内しております。
   弊社からの連絡先が販社殿となっている場合もございます。

※2 現在V3.xをご利用のお客様は、
   バージョンアップに必要なモジュールのサポートサイトでの掲載が終了しているため、
   通常サポートルートでお問い合わせ下さい。

                                        以上

  1. TOP
  2. サポート
  3. お知らせ
  4. サポートからのお知らせ
  5. 【重要】FileZenディレクトリトラバーサルの脆弱性について